Platform
php
Component
phpgurukul-online-shopping-portal-project
Opgelost in
2.1.1
CVE-2026-5636 beschrijft een SQL Injection kwetsbaarheid in de PHPGurukul Online Shopping Portal Project versie 2.1. Deze kwetsbaarheid stelt aanvallers in staat om potentieel ongeautoriseerde toegang te krijgen tot de database door de 'oid' parameter in het bestand /cancelorder.php te manipuleren. De kwetsbaarheid is te exploiteren via een remote attack en de exploit is publiekelijk beschikbaar. Er is momenteel geen officiële patch beschikbaar.
Een SQL-injectie kwetsbaarheid is gevonden in het PHPGurukul Online Shopping Portal Project 2.1. De kwetsbaarheid bevindt zich in het bestand /cancelorder.php van de Parameter Handler component. Aanvallers kunnen het argument oid manipuleren om kwaadaardige SQL-code in te voegen, waardoor de integriteit en vertrouwelijkheid van de database mogelijk in gevaar komt. De CVSS score is 6.3, wat een matig risico aangeeft. De publieke beschikbaarheid van een exploit verhoogt het risico op uitbuiting aanzienlijk. Dit kan aanvallers in staat stellen gevoelige informatie te verkrijgen, gegevens te wijzigen of zelfs de controle over het systeem over te nemen.
De kwetsbaarheid ligt in de manier waarop het argument oid binnen /cancelorder.php wordt behandeld. Een aanvaller kan dit argument manipuleren om SQL-code in te voegen, die vervolgens tegen de database wordt uitgevoerd. Vanwege de remote aard van de exploit en de publieke beschikbaarheid is het risico op een aanval aanzienlijk. Aanvallers kunnen dit gebruiken om klantgegevens te stelen, de inventaris te wijzigen of de werking van de website te verstoren. Het ontbreken van een onmiddellijke fix vereist snel handelen om het risico te beperken.
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen officiële fix uitgebracht door PHPGurukul voor deze kwetsbaarheid. De onmiddellijke en meest effectieve mitigatie is om de orderannuleringsfunctionaliteit tijdelijk uit te schakelen via het bestand /cancelorder.php. Beheerders worden ten zeerste aangeraden om te upgraden naar een nieuwere versie van het Online Shopping Portal Project zodra deze beschikbaar is. Het implementeren van veilige codeerpraktijken, zoals het gebruik van geparametriseerde queries of stored procedures, kan helpen om toekomstige SQL-injectie kwetsbaarheden te voorkomen. Actief monitoren van serverlogs op verdachte activiteiten is ook cruciaal.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cancelorder.php. Verifique y sanee las entradas del usuario, especialmente el argumento 'oid', para prevenir la ejecución de código SQL malicioso. Implemente consultas parametrizadas o procedimientos almacenados para mitigar el riesgo de inyección SQL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een CVSS score van 6.3 geeft een matige ernstgraad aan. Dit betekent dat de kwetsbaarheid aanzienlijke gevolgen kan hebben als deze wordt misbruikt, maar niet als kritiek wordt beschouwd.
Als de functionaliteit essentieel is, implementeer dan aanvullende beveiligingsmaatregelen, zoals web application firewalls (WAF's) en intrusion detection systems (IDS).
Gebruik geparametriseerde queries of stored procedures, valideer en escape alle gebruikersinvoer en houd uw software up-to-date.
Er zijn verschillende vulnerability scanning tools die kunnen helpen bij het identificeren van SQL-injectie kwetsbaarheden, zoals OWASP ZAP en Burp Suite.
U kunt de PHPGurukul ontwikkelaar contacteren of hulp zoeken op online beveiligingsforums.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.